Hola, soy nuevo en este mundillo y me acaban de colocar un Firewall fortigate donde tengo estas 5 interfaces "DMZ1 - DMZ2 - WAN1 - WAN2 e Internal". En cada interfaz tengo redes distintas. Actualmente tengo algunas reglas creadas pero en todas tengo permitido todo.
El problema es que tengo servicios que necesita de algunos puertos de otro Pc estén abiertos y parece ser que esos puertos en ocasiones están ociosos de tráfico y se pierde la conexión entre un Pc y el otro, pero he podido comprobar que los servicios están arrancados correctamente.
No se si me he explicado bien....
¿Existe algo en el Fortigate que cierre el tráfico de puertos abiertos que estén ociosos cada cierto tiempo?
Gracias
			
			
									
						
										
						EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
Hola, como estas? No, que yo sepa eso no hay.
Igual si nos das mas detalles o algun ejemplo mas preciso y puntual vemos cual es problema.
saludos
Gabriel
			
			
									
						
							Igual si nos das mas detalles o algun ejemplo mas preciso y puntual vemos cual es problema.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
			
						NSE 5 - Network Security Analyst
Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
ok, gracias Gabriel por responder.
Concretamente lo que me ocurre es que en DMZ1 tengo puesto una maquina con un servidor de aplicaciones corriendo a la que acceden los usuarios desde WAN1. La mayoria de accesos se hacen durante el día. De noche casi no suele haber accesos. Por no decir que no los hay.
Antes de colocar el firewall todo funcionaba correctamente, pero desde que se puso, todos los días por la mañana hay que rebotar el servidor de aplicaciones para que responda. Si no lo hago, los usuarios que intentan acceder desde la WAN1 no pueden logearse en la pagina web.
Por eso mi pregunta.. de si había algún control de temporización en los puertos abiertos que estén ociosos.
Cuando falla, yo he comprobado que el puerto 80 en el servidor de aplicaciones está en estado LISTEN, pero cualquier intento de conexión de un usuario desde la WAN1 aparece en la máquina del servidor de aplicaciones como CLOSE_WAIT (socket)
Saludos. AGDeLTa
			
			
									
						
										
						Concretamente lo que me ocurre es que en DMZ1 tengo puesto una maquina con un servidor de aplicaciones corriendo a la que acceden los usuarios desde WAN1. La mayoria de accesos se hacen durante el día. De noche casi no suele haber accesos. Por no decir que no los hay.
Antes de colocar el firewall todo funcionaba correctamente, pero desde que se puso, todos los días por la mañana hay que rebotar el servidor de aplicaciones para que responda. Si no lo hago, los usuarios que intentan acceder desde la WAN1 no pueden logearse en la pagina web.
Por eso mi pregunta.. de si había algún control de temporización en los puertos abiertos que estén ociosos.
Cuando falla, yo he comprobado que el puerto 80 en el servidor de aplicaciones está en estado LISTEN, pero cualquier intento de conexión de un usuario desde la WAN1 aparece en la máquina del servidor de aplicaciones como CLOSE_WAIT (socket)
Saludos. AGDeLTa
Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
Leyendo un poco uno de los manuales encontre algó, podría ser esto?
Fortigate timers for the TCP half-close sessions
 
Description
FortiGate timers for the TCP half-close sessions
Components
FortiOS 2.80 MR6 and above
Steps or Commands
TCP provides the ability for one end of a connection to terminate its output while still receiving data from the other end. This is called a half-close.
A FortiGate unit implements a specific timer before removing an entry in the firewall session table, so that a half-close connection can terminate sending their data.
Typical applications that use the half-close mechanism are SQL*Net, rsh and lpr.
This timer depends on the FortiOS maintenance release:
MR6, MR7, MR8, and MR9 - 120 seconds
MR10 - configurable using the following CLI command:
# config system global
(global)# set tcp-halfclose-timer
"tcp half close timeout: 1-86400s, default 120s"
 
 
Aunque también lei algo de la configuración en "modo conservador". ¿Como podría saber si está en este modo? ¿Y podría ser este el motivo?
Esto lo he estado leyendo de esta web "http://kc.forticare.com/default.asp?SID=&Lang=1&id=1076"
Saludos Y Buen Fin de semana a todos. El lunes nos vemos
			
			
									
						
										
						Fortigate timers for the TCP half-close sessions
Description
FortiGate timers for the TCP half-close sessions
Components
FortiOS 2.80 MR6 and above
Steps or Commands
TCP provides the ability for one end of a connection to terminate its output while still receiving data from the other end. This is called a half-close.
A FortiGate unit implements a specific timer before removing an entry in the firewall session table, so that a half-close connection can terminate sending their data.
Typical applications that use the half-close mechanism are SQL*Net, rsh and lpr.
This timer depends on the FortiOS maintenance release:
MR6, MR7, MR8, and MR9 - 120 seconds
MR10 - configurable using the following CLI command:
# config system global
(global)# set tcp-halfclose-timer
"tcp half close timeout: 1-86400s, default 120s"
Aunque también lei algo de la configuración en "modo conservador". ¿Como podría saber si está en este modo? ¿Y podría ser este el motivo?
Esto lo he estado leyendo de esta web "http://kc.forticare.com/default.asp?SID=&Lang=1&id=1076"
Saludos Y Buen Fin de semana a todos. El lunes nos vemos

Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
Hola, como estas? como lo contas parece ser un error pero del server.
publicar servicios se hace siempre y nunca me paso eso.
con el tema del modo conserador, llega a este estado (que te lo infoma el fortigate) porque esta sobrecargado.. lo podras ver en cpu o memoria y pasa en modo conservador, porque esta sobrecargado. Nose si es ese caso.
saludos
			
			
									
						
							publicar servicios se hace siempre y nunca me paso eso.
con el tema del modo conserador, llega a este estado (que te lo infoma el fortigate) porque esta sobrecargado.. lo podras ver en cpu o memoria y pasa en modo conservador, porque esta sobrecargado. Nose si es ese caso.
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
			
						NSE 5 - Network Security Analyst
Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
Bueno parece que si que habia un tiempo de vida para los puertos que se permitían tener abiertos en modo transparente con Nat. Lo llaman session_ttl por lo que cada sesión abierta a un puerto tiene un timeout después de varios minutos. Por defecto es menos de 3600 segundos. Con lo que lo correcto sería ampliarlo
A continuación pongo un link de donde he sacado esto.
[Debes identificarte para poder ver enlaces.]
Premature Oracle session timeouts
Description
Oracle sessions timeout after a few minutes even after increasing the session_ttl value on the TCP port 1521 to 3600 seconds.
 
Components
All FortiGate units
 
Steps or Commands
TCP port 1521 is Oracle’s TNS listener port, which a client establishes an initial session to the server. The server may then issue a REDIRECT command to the client, telling it to reconnect to another dynamically selected TCP port. The new TCP port will be dynamically opened by the Fortigate due to the pre-configured "session helper".
The session_ttl value applied to this new port is based on the default session_ttl value (which can be lower than 3600 seconds). The timeout of this newly established session, causes the client-server session to stop.
You have a number of options to correct this issue:
Configure the Oracle server to not issue the REDIRECT command. This will effectively keep sessions on port 1521.
Configure the Oracle server to use a pre-defined REDIRECT port(s). You can configure the predefined ports manually on the FortiGate unit with longer session_ttl values.
Increase the default session_ttl value of the Fortigate, so that any dynamically opened ports will use this value.
 
Saludos: AGDeLTa
			
			
									
						
										
						A continuación pongo un link de donde he sacado esto.
[Debes identificarte para poder ver enlaces.]
Premature Oracle session timeouts
Description
Oracle sessions timeout after a few minutes even after increasing the session_ttl value on the TCP port 1521 to 3600 seconds.
Components
All FortiGate units
Steps or Commands
TCP port 1521 is Oracle’s TNS listener port, which a client establishes an initial session to the server. The server may then issue a REDIRECT command to the client, telling it to reconnect to another dynamically selected TCP port. The new TCP port will be dynamically opened by the Fortigate due to the pre-configured "session helper".
The session_ttl value applied to this new port is based on the default session_ttl value (which can be lower than 3600 seconds). The timeout of this newly established session, causes the client-server session to stop.
You have a number of options to correct this issue:
Configure the Oracle server to not issue the REDIRECT command. This will effectively keep sessions on port 1521.
Configure the Oracle server to use a pre-defined REDIRECT port(s). You can configure the predefined ports manually on the FortiGate unit with longer session_ttl values.
Increase the default session_ttl value of the Fortigate, so that any dynamically opened ports will use this value.
Saludos: AGDeLTa
Re: EL FIREWALL CIERRA LOS PUERTOS QUE ESTAN OCIOSOS?
hola, como estas? si es verdad no me daba cuenta que hablabas de eso.
Muchas veces si los fortigate estan bastante complicado a nivel memoria o procesamiento una de las cosas que "recomiendan" es bajar los tiemos de sessiones. y eso se hace justamento por port y es el session_ttl.
saludos
Gabriel
			
			
									
						
							Muchas veces si los fortigate estan bastante complicado a nivel memoria o procesamiento una de las cosas que "recomiendan" es bajar los tiemos de sessiones. y eso se hace justamento por port y es el session_ttl.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
			
						NSE 5 - Network Security Analyst

